Kaczaza
(Pkaczalko)
24 Marzec 2008 11:55
#1
Witam. Od 2 tyg. mój antyvirus wykrywa robaka o nazwie Solow. Usuwanie nic nie daje. Czasami wykrywa go w kilku źródłach na wszystkich partycjach. Przedstawiam logi z HijackThis`a oraz Combofixa
http://www.speedyshare.com/391713666.html
http://www.speedyshare.com/192377128.html
Dziekuje z góry za odpowiedzi. Dodam że jestem laikiem w tych sprawach wiec proszę o w miare proste wytłumaczenie co mam wykonać
Gutek
(Gutek)
25 Marzec 2008 14:13
#2
R3 - URLSearchHook: (no name) - {9CB65206-89C4-402c-BA80-02D8C59F9B1D} - C:\Program Files\AskTBar\SrchAstt\1.bin\A5SRCHAS.DLL
O2 - BHO: Ask Search Assistant BHO - {9CB65201-89C4-402c-BA80-02D8C59F9B1D} - C:\Program Files\AskTBar\SrchAstt\1.bin\A5SRCHAS.DLL
O4 - HKLM\..\Run: [Rundll32] C:\WINDOWS\RundII32.exe
usuń wpisy HJT
Pobierz program SDFix
Kaczaza
(Pkaczalko)
25 Marzec 2008 17:42
#3
Leon1
(Leon$)
25 Marzec 2008 18:16
#4
Wyłącz przywracanie systemu na wszystkich dyskach.http://support.microsoft.com/kb/310405/pl
Otwórz notatnik i wklej
zapisz jako CFScript.txt (zapisz by ikonka CFScript.txt była obok ikonki ComboFix.exe) >> Przeciągnij i upuść ikonkę CFScript.txt na ikonkę ComboFix.exe
http://img.wklej.org/images/88953CFScri … iemoes.gif
Powinno rozpocząć się usuwanie
Potem log z usuwania Combofix
Kaczaza
(Pkaczalko)
27 Marzec 2008 18:49
#5
Niestety wszystko pomogło tylko na moment. Wykrywa mi Robaka o nazwie Sys_tray.eze i Autoruna.dll. Dodatkowo pojawiają sie ataki kompa -
"2008-03-27 18:51:01 Intrusion.Win.MSSQL.worm.Helkern! Adres IP atakuj¹cego: 61.184.84.175. Protokó³/us³uga: UDP na lokalnym porcie 1434. Czas: 2008-03-27 18:51:01
Nie chce robic formata bo to dla mnie ostateczność. Czy ktoś pomoże?
Leon1
(Leon$)
27 Marzec 2008 19:11
#6
Chcesz pomocy a nie wykonujesz zaleceń
czekam
Kaczaza
(Pkaczalko)
27 Marzec 2008 20:29
#7
Powtórzyłem operacje poraz kolejny. Log Report z Combofixa:
http://www.speedyshare.com/326121920.html
cezar07
(Molenda65)
29 Marzec 2008 00:30
#8
Proponuję bezpłatne narzędzie do usuwania robaków ArcaClean
http://www.arcabit.pl
Leon1
(Leon$)
29 Marzec 2008 14:43
#9
Otwórz notatnik i wklej
File:: C:\WINDOWS\RundII32.exe C:\WINDOWS$hf_mig$\Forder_info.exe C:\WINDOWS$hf_mig$\KB920213\Forder_info.exe C:\WINDOWS$hf_mig$\KB921503\Forder_info.exe C:\WINDOWS$hf_mig$\KB921503\update\Forder_info.exe C:\WINDOWS$hf_mig$\KB922582\Forder_info.exe C:\WINDOWS$hf_mig$\KB923980\update\Forder_info.exe C:\WINDOWS$hf_mig$\KB924191\update\Forder_info.exe C:\WINDOWS$hf_mig$\KB924270\Forder_info.exe C:\WINDOWS$hf_mig$\KB924496\Forder_info.exe C:\WINDOWS$hf_mig$\KB926436\Forder_info.exe C:\WINDOWS$hf_mig$\KB927802\Forder_info.exe C:\WINDOWS$hf_mig$\KB928255\Forder_info.exe C:\WINDOWS$hf_mig$\KB931261\Forder_info.exe C:\WINDOWS$hf_mig$\KB931784\Forder_info.exe C:\WINDOWS$hf_mig$\KB931836\Forder_info.exe C:\WINDOWS$hf_mig$\KB933729\Forder_info.exe C:\WINDOWS$hf_mig$\KB933729\update\Forder_info.exe C:\WINDOWS$hf_mig$\KB935840\Forder_info.exe C:\WINDOWS$hf_mig$\KB935840\SP2QFE\Forder_info.exe C:\WINDOWS$hf_mig$\KB936021\update\Forder_info.exe C:\WINDOWS$hf_mig$\KB941568\Forder_info.exe C:\WINDOWS$hf_mig$\KB942840\update\Forder_info.exe C:\WINDOWS$hf_mig$\KB943460\Forder_info.exe C:\WINDOWS\AppPatch\Forder_info.exe C:\WINDOWS\Debug\Forder_info.exe C:\WINDOWS\Downloaded Installations{41A8FD47-AA29-464F-BF89-BB3F48240602}\Forder_info.exe C:\WINDOWS\ftpcache\Forder_info.exe C:\WINDOWS\Help\Tours\WindowsMediaPlayer\Forder_info.exe C:\WINDOWS\Help\Tours\WindowsMediaPlayer\Audio\Wav\Forder_info.exe C:\WINDOWS\Help\Tours\WindowsMediaPlayer\Img\Forder_info.exe C:\WINDOWS\Help\Tours\WindowsMediaPlayer\Img\WMarks\Forder_info.exe C:\WINDOWS\Help\Tours\WindowsMediaPlayer\Video\Forder_info.exe C:\WINDOWS\ime\imejp\applets\Forder_info.exe C:\WINDOWS\ime\imkr6_1\Forder_info.exe C:\WINDOWS\ime\shared\res\Forder_info.exe C:\WINDOWS\inf\Forder_info.exe C:\WINDOWS\Installer{3248F0A8-6813-11D6-A77B-00B0D0150110}\Forder_info.exe C:\WINDOWS\Installer{588AA47B-9115-44D3-B2E5-4F10BC659D6C}\Forder_info.exe C:\WINDOWS\Installer{90120415-6000-11D3-8CFE-0150048383C9}\Forder_info.exe C:\WINDOWS\Installer{AC76BA86-7AD7-1033-7B44-A70800000002}\Forder_info.exe C:\WINDOWS\Installer{EC42ED6A-751D-45C0-A4F9-8CD00E4690FC}\Forder_info.exe C:\WINDOWS\java\trustlib\Forder_info.exe C:\WINDOWS\pchealth\ERRORREP\Forder_info.exe C:\WINDOWS\pchealth\helpctr\Config\Forder_info.exe C:\WINDOWS\pchealth\helpctr\Config\Cache\Forder_info.exe C:\WINDOWS\pchealth\helpctr\Database\Forder_info.exe C:\WINDOWS\pchealth\helpctr\HelpFiles\Forder_info.exe C:\WINDOWS\pchealth\helpctr\System\dialogs\Forder_info.exe C:\WINDOWS\pchealth\helpctr\System\images\48x48\Forder_info.exe C:\WINDOWS\pchealth\helpctr\System\images\Expando\Forder_info.exe C:\WINDOWS\pchealth\helpctr\System\NetDiag\Forder_info.exe C:\WINDOWS\pchealth\helpctr\System\Remote Assistance\Interaction\Common\Forder_info.exe C:\WINDOWS\pchealth\helpctr\System\Remote Assistance\Interaction\Server\Forder_info.exe C:\WINDOWS\pchealth\helpctr\System\sysinfo\Forder_info.exe C:\WINDOWS\pchealth\helpctr\System\sysinfo\graphics\47x24pie\Forder_info.exe C:\WINDOWS\pchealth\helpctr\System_OEM\Forder_info.exe C:\WINDOWS\pchealth\helpctr\Vendors\CN=Microsoft Corporation,L=Redmond,S=Washington,C=US\Forder_info.exe C:\WINDOWS\pchealth\helpctr\Vendors\CN=Microsoft Corporation,L=Redmond,S=Washington,C=US\Remote Assistance\Common\Forder_info.exe C:\WINDOWS\pchealth\UploadLB\Config\Forder_info.exe C:\WINDOWS\Provisioning\Forder_info.exe C:\WINDOWS\RegisteredPackages{077ACEC7-979C-40AB-9835-435BA1511E0D}$BACKUP$\Forder_info.exe C:\WINDOWS\RegisteredPackages{077ACEC7-979C-40AB-9835-435BA1511E0D}$BACKUP$\System\Forder_info.exe C:\WINDOWS\RegisteredPackages{981FB688-E76B-4246-987B-92083185B90A}$BACKUP$\System\Forder_info.exe C:\WINDOWS\RegisteredPackages{AAC1D942-0B38-4E37-9E4E-5B96A9DD2170}$BACKUP$\System\Forder_info.exe C:\WINDOWS\RegisteredPackages{C5B8FBE9-645E-4484-A7AA-E8DA9A70DD77}\Forder_info.exe C:\WINDOWS\repair\Forder_info.exe C:\WINDOWS\Resources\Forder_info.exe C:\WINDOWS\security\Forder_info.exe C:\WINDOWS\SHELLNEW\Forder_info.exe C:\WINDOWS\SoftwareDistribution\EventCache\Forder_info.exe C:\WINDOWS\SoftwareDistribution\SelfUpdate\Default\Forder_info.exe C:\WINDOWS\SoftwareDistribution\SelfUpdate\Registered\Forder_info.exe C:\WINDOWS\srchasst\Forder_info.exe C:\WINDOWS\srchasst\mui\Forder_info.exe C:\WINDOWS\Sun\Java\Deployment\Forder_info.exe C:\WINDOWS\system\Sys_Tray.exe C:\WINDOWS\system32\1042\Forder_info.exe C:\WINDOWS\system32\1054\Forder_info.exe C:\WINDOWS\system32\2052\Forder_info.exe C:\WINDOWS\system32\3076\Forder_info.exe C:\WINDOWS\system32\appmgmt\Forder_info.exe C:\WINDOWS\system32\CatRoot{127D0A1D-4EF2-11D1-8608-00C04FC295EE}\Forder_info.exe C:\WINDOWS\system32\config\systemprofile\Dane aplikacji\Microsoft\Forder_info.exe C:\WINDOWS\system32\config\systemprofile\Dane aplikacji\Microsoft\CryptnetUrlCache\Content\Forder_info.exe C:\WINDOWS\system32\config\systemprofile\Dane aplikacji\Microsoft\Internet Explorer\Forder_info.exe C:\WINDOWS\system32\config\systemprofile\Dane aplikacji\Microsoft\SystemCertificates\Forder_info.exe C:\WINDOWS\system32\config\systemprofile\Dane aplikacji\Microsoft\SystemCertificates\My\CRLs\Forder_info.exe C:\WINDOWS\system32\config\systemprofile\Menu Start\Programy\Akcesoria\Rozrywka\Forder_info.exe C:\WINDOWS\system32\config\systemprofile\Moje dokumenty\Forder_info.exe C:\WINDOWS\system32\config\systemprofile\SendTo\Forder_info.exe C:\WINDOWS\system32\config\systemprofile\Ustawienia lokalne\Forder_info.exe C:\WINDOWS\system32\config\systemprofile\Ustawienia lokalne\Dane aplikacji\Forder_info.exe C:\WINDOWS\system32\config\systemprofile\Ustawienia lokalne\Dane aplikacji\Microsoft\Forder_info.exe C:\WINDOWS\system32\config\systemprofile\Ustawienia lokalne\Dane aplikacji\Microsoft\Media Player\Forder_info.exe C:\WINDOWS\system32\config\systemprofile\Ustawienia lokalne\Historia\History.IE5\MSHist012007021820070219\Forder_info.exe C:\WINDOWS\system32\config\systemprofile\Ustawienia lokalne\Temporary Internet Files\Forder_info.exe C:\WINDOWS\system32\drivers\disdn\Forder_info.exe C:\WINDOWS\system32\IME\PINTLGNT\Forder_info.exe C:\WINDOWS\system32\IME\TINTLGNT\Forder_info.exe C:\WINDOWS\system32\Microsoft\Forder_info.exe C:\WINDOWS\system32\Microsoft\Protect\S-1-5-18\Forder_info.exe C:\WINDOWS\system32\mui\dispspec\Forder_info.exe C:\WINDOWS\system32\npp\Forder_info.exe C:\WINDOWS\system32\oobe\error\Forder_info.exe C:\WINDOWS\system32\oobe\html\dslmain\Forder_info.exe C:\WINDOWS\system32\oobe\html\iconnect\Forder_info.exe C:\WINDOWS\system32\oobe\html\ispsgnup\Forder_info.exe C:\WINDOWS\system32\PreInstall\Forder_info.exe C:\WINDOWS\system32\ReinstallBackups\0000\DriverFiles\Forder_info.exe C:\WINDOWS\system32\ReinstallBackups\0002\Forder_info.exe C:\WINDOWS\system32\SoftwareDistribution\Setup\ServiceStartup\Forder_info.exe C:\WINDOWS\system32\SoftwareDistribution\Setup\ServiceStartup\wups.dll\5.8.0.2469\Forder_info.exe C:\WINDOWS\system32\SoftwareDistribution\Setup\ServiceStartup\wups2.dll\7.0.6000.374\Forder_info.exe C:\WINDOWS\system32\spool\Forder_info.exe C:\WINDOWS\system32\spool\drivers\w32x86\Forder_info.exe C:\WINDOWS\system32\spool\drivers\w32x86\hpdeskjet_d2300_seri856d\Forder_info.exe C:\WINDOWS\system32\spool\PRINTERS\Forder_info.exe C:\WINDOWS\system32\spool\prtprocs\Forder_info.exe C:\WINDOWS\system32\wbem\Repository\Forder_info.exe C:\WINDOWS\system32\wbem\xml\Forder_info.exe C:\WINDOWS\WinSxS\Forder_info.exe C:\WINDOWS\WinSxS\Policies\x86_policy.6.0.Microsoft.Tools.VisualCPlusPlus.Runtime-Libraries_6595b64144ccf1df_x-ww_527a1c68\Forder_info.exe C:\WINDOWS\WinSxS\Policies\x86_policy.7.0.Microsoft.Windows.CPlusPlusRuntime_6595b64144ccf1df_x-ww_a317e4b3\Forder_info.exe C:\WINDOWS\WinSxS\x86_Microsoft.Tools.VisualCPlusPlus.Runtime-Libraries_6595b64144ccf1df_6.0.9792.0_x-ww_08a6620a\Forder_info.exe C:\WINDOWS\WinSxS\x86_Microsoft.VC80.ATL_1fc8b3b9a1e18e3b_8.0.50727.42_x-ww_6e805841\Forder_info.exe C:\WINDOWS\WinSxS\x86_Microsoft.Windows.Common-Controls_6595b64144ccf1df_6.0.2600.2180_x-ww_a84f1ff9\Forder_info.exe C:\WINDOWS\WinSxS\x86_Microsoft.Windows.CPlusPlusRuntime_6595b64144ccf1df_7.0.0.0_x-ww_2726e76a\Forder_info.exe C:\WINDOWS\WinSxS\x86_Microsoft.Windows.CPlusPlusRuntime_6595b64144ccf1df_7.0.2600.2180_x-ww_b2505ed9\Forder_info.exe C:\WINDOWS\WinSxS\x86_Microsoft.Windows.GdiPlus_6595b64144ccf1df_1.0.2600.2180_x-ww_522f9f82\Forder_info.exe C:\WINDOWS\WinSxS\x86_Microsoft.Windows.Networking.Dxmrtp_6595b64144ccf1df_5.2.2.3_x-ww_468466a7\Forder_info.exe C:\WINDOWS\WinSxS\x86_Microsoft.Windows.Networking.RtcDll_6595b64144ccf1df_5.2.2.3_x-ww_d6bd8b95\Forder_info.exe C:\Documents and Settings\Administrator\Forder_info.exe C:\Documents and Settings\Administrator\Menu Start\Programy\Autostart\SysTray.exe C:\Documents and Settings\Kaczaza\Menu Start\Programy\Autostart\SysTray.exe C:\Documents and Settings\All Users\Menu Start\Programy\Autostart\SysTray.exe Registry:: [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] “Aplication Tray”=- “Rundll32”=-
zapisz jako CFScript.txt (zapisz by ikonka CFScript.txt była obok ikonki ComboFix.exe) >> Przeciągnij i upuść ikonkę CFScript.txt na ikonkę ComboFix.exe
http://img.wklej.org/images/88953CFScri … iemoes.gif
Powinno rozpocząć się usuwanie
Potem log z usuwania Combofix
Kaczaza
(Pkaczalko)
30 Marzec 2008 07:52
#10
Report z dziś. Zrobiłem jak napisałes Leon$.
http://www.speedyshare.com/793620891.html
Gutek
(Gutek)
30 Marzec 2008 10:39
#11
Skan AVG Anti-Spyware 7.5 po update + raport
Kaczaza
(Pkaczalko)
1 Kwiecień 2008 21:05
#12
Gutek
(Gutek)
1 Kwiecień 2008 21:53
#13
Strasznie źle się ten raport czyta, ale widzię tylko ciasteczka więc Ok
Leon1
(Leon$)
2 Kwiecień 2008 14:12
#14
otwórz notatnik i wklej
File:: C:\WINDOWS\Win_scan.exe C:\Program Files\Win_scan.exe C:\Disk_Info.exe C:\Documents and Settings\Kaczaza\Dane aplikacji\Forder_info.exe C:\WINDOWS$hf_mig$\KB943055\SP2QFE\Forder_info.exe C:\WINDOWS$hf_mig$\KB944653\SP2QFE\Forder_info.exe C:\WINDOWS\ERUNT\SDFIX\Users\Forder_info.exe C:\WINDOWS\ERUNT\SDFIX_First_Run\Forder_info.exe C:\WINDOWS\Help\Tours\htmlTour\Forder_info.exe C:\WINDOWS\Installer{929408E6-D265-4174-805F-81D1D914E2A4}\Forder_info.exe C:\WINDOWS\pchealth\helpctr\Vendors\CN=Microsoft Corporation,L=Redmond,S=Washington,C=US\Remote Assistance\Forder_info.exe C:\WINDOWS\system32\config\systemprofile\Menu Start\Programy\Autostart\SysTray.exe C:\WINDOWS\system32\oobe\sample\Forder_info.exe
zapisz jako CFScript.txt (zapisz by ikonka CFScript.txt była obok ikonki ComboFix.exe) >> Przeciągnij i upuść ikonkę CFScript.txt na ikonkę ComboFix.exe
http://img.wklej.org/images/88953CFScri … iemoes.gif
Powinno rozpocząć się usuwanie
Potem log z usuwania Combofix
Kaczaza
(Pkaczalko)
2 Kwiecień 2008 19:26
#15
Leon1
(Leon$)
2 Kwiecień 2008 19:37
#16
Log wygląda na czysty
na koniec przeskanuj tym http://www.kaspersky.pl/virusscanner.html
jeśli coś znajdzie to pokaż raport
jeśli czysty to
usuń ręcznie folder C: \Qoobox
usuń instalkę Combofix z dysku.
włącz przywracanie systemu
Kaczaza
(Pkaczalko)
4 Kwiecień 2008 06:21
#17
Leon1
(Leon$)
4 Kwiecień 2008 14:02
#18
te pliki masz skażone więc usuń Kasperski online nie kasuje tylko wykrywa
C: \Qoobox już usunołeś więc ich nie ma
Po tym wszystkim powinno być OK
Kaczaza
(Pkaczalko)
4 Kwiecień 2008 14:16
#19
OK zawartośc folderu C: \Qoobox usunięta. Narazie wszystko cacy. Dzieki Wielkie. Obiecuje ze bede jeszcze pisał w razie problemów Pozdrawiam